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r^'15EC 2003 
LIEU 54 INPI NANCY 

D'ENREGISTREMENT 4959 
NATIONAL ATTRIBUe PAR L'INPI 

DATE DEDtPOT ATTRIBUTE \ 9 DEC, 2003 

PAR LINPi 


Q NOM ET ADRESSE DU DEMANDEUR OU DU MANDATAIRE 
A QUI LA CORRESPONDANCE DOIT ETRE ADRESSEE 

" CABINET BALLOT 
9, rue Claude Chappe 
Metz Technopole 
57070 METZ 


Vos references pour ce dossier 

(facuUat0 017069 


Conf irmatloti d'un depot par teiecopfe 


r~l W attribue par I'lNPI a la tel6copie 


Bl NATURE DE LA DEMANDE 


Cochez Pune Ues 4 cases sui^anfes 


Demande de brevet 


m 


Demande de certificat d'utilite 


□ 


Demande divlstonnaire 

Demaiide de brevet initiate 
ou demande de certificat d'utilite initiale 


□ 

N° DfltP 1 1 I 1 1 1 1 1 1 
M" Date 1 1 1 1 1 1 1 1 1 


Transformation d'une demande de 
brevet europ6en Demande de brevet initiale 


0 .11. 
N° Date | t | i 1 t ) I 1 



Qj TITRE DE L'lNVENTION (200 caracteres ou espaces maximum) 

Procede cryptographique d'exponentiation modulaire protege contra les attaques de type DPA. 



Q DgGLARATION DE PRIORlie 
OU REQU&TE DU B^Nl^FICE DE 
LA DATE DE DI^POT D'UNE 
DEMANDE ANT^RIEURE FRANQAiSE 


Pays ou organisation 

Date 1 ! 1 1 1 1 1 I 1 N° 
Pays ou organisation 

Date 1 1 1 1 1 1 1 1 1 N° 
Pays ou organisation 

Date 1 1 1 1 1 1 ! 1 1 N° 

1 1 S'll y a d^autres priorites, cochez la case et utilisez I'imprime «Suite» 


|@ DEMANDEUR (Cochez I'une des 2 cases) 


rgl Personne morale / [□ Personne physique 


Norn 

ou denomination sociale 


GEMPLUS 


Pr^noms 




Forme juridique 


Societe Anonyme 


SIREN 


1 1 1 1 1 1 I 1 ] 1 


Code APE-NAF 


1 1 I 1 1 


Domicile 
ou 

si^ge 


Rue 


Avenue du Pic de Bertagne 
Pare d'Activit^s de GEMENOS 


Code postal etville 


11 ,3i4i2i0| GEMENOS 


Pays 


FRANCE 


Nationality 


franoalse 


N° de telephone (famliatij) 


N° de t^lecopie (facultatij) 


Adresse electronique CfacuUatif) 






n S'il y a plus d'un demandeur, cochez ia case et utilisez rimprime «Suite» 



Remolir impe rativement la 2^ page 




INniTUT 
tf ATiOHAL OB 
LA PROrtliKTC 
IKDUSTRISLLE 
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DATE WiBEC 2003 
uEu 54 IN PI NANCY 



N° D-ENREGISTREMENT 



03149S9 







Nom 


LECLAIRE 


Pr§nom 


Jean-Louis 


Cabinet ou Soci4t6 


CABINET BALLOT 


N ^'de pouvoir permanent et/ou 
de Hen contractuel 




Adresse 


Rue 


9, rue Claude Chappe 
Metz Teclinopole 


Code postal et ville 


15 i7 lO i7 lO 1 METZ 


Pays 


FRANCE 


N'' de telephone (facuitahf) 


03.87.74.81,36 


W de teiecopie (faculMl/) 


03.87.36.26.76 


Adresse electronique (facu/tal(/) 




Q INVENTEUR (S) 


Les inventeurs sont necejstsalrement d^ personnes phystques r^-T-— 


Les demandeurs et les inventeurs 

sont les memes personnes 


□ Oui 

H Non : Dans ce cas remplir le formufaire de Designation d''inventeur(s) 


H RAPPORT DE RECHERCHE 


Unlquement pour une dettiande de brevet (y comprls division et transformation] 


Etablissement Immediat 
ou etablissement differe 




Paiement echelonn^ de la redevance 


Uniquement pour les personnes ph^iques effectuant elles^emes leur propre depot 

□ Oui 
ENon 


O RfiDUCTfON DU TAUX 
DES REDEVANGES 


Uniquement pour les personnes physiques 

□ Requlse pour la premiere fois pour cette invention Q'^^^'^^^'^^^^^^'s^^non-mposi/imJ 

□ Obtenue anterieurement h ce d^pot pour cette invention (joindre um cop/e /a 
isf^cisi'on d'ad?mss^on d i-'ass/s/anc^^ I i i i i 1 


EE SEQUENCES DE NUCLEOTIDES 

ET/OU D'AciDEs mmts 


n Cochez la case si la description contient une liste de sequences 


Le support electronique de donnees est joint 

La declaration de conformity de ia liste de 
sequences sur support papier avec le 
support Electronique de donnees est Jointe 




Si vous avez irtllise Timprime »3uite»f 
indlquez le nombre de pages jointes 




^ SIGNATURE DU DEi^ANDEUR 

OU DU MNDATAIRE CABIIMET \ 
(Nom et qualfte du signataire) CONSEILS EN PROPRt 
Jean-Louis LECLAIRE - 93.4009 . . 3^ eiaucl 

^ ^ 57070 


VISA DE LA PREFECTURE 
1 ALLOT OU DE L'INPI^__^.==-=-' 

i ( :iiappe ^ 

/ „t2 2000 Magall DEMANGE 

iETZ 



La loi n'^yS-l? du 6 janvier 1978 relative a I'informatique, aux fichiers et aux libertes s'applique aux reponses faites a ce formuiaire. 
Elle garantit un droit d'acc^s et de rectification pour les donnees vous concernant aupres de FINPI. 
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PRQCEDE CRyPTQSRAPHIQUE b ' EXPONENTTATTQN MObULAIRE PROTEGE CQNTRE 

LBS ATTAQUES bE TYPE t>PA 

Dans le domaine de la protection des algorithmes 
cryptographiques contre les attaques DPA, 1^ invention 
concerne un procede au cours duquel on realise iine 
exponentiation modulaire de type x^d, avec d un exposant 
5 entier de m-fl bits, en balayant les bits de d de gauche a 
droite dans une boucle indicee par i variant de m a 0 et 
en calculant et en memorisant dans un accumulateur (RO) , 
k chaque tour de rang i, un resultat partiel actualist 
egal a x'^b(i) . b(i) correspond aux m-i+1 bits de poids 
10 les plus forts de 1 ^ exposant d : b(i) = di;n->i. Le nombr^ 
constitue des bits de poids j a k de d est defini par 
cak->j= (dk. ■ - ■ . dj)2 = E^j (i - j) . 

L ' exponentiation modulaire est une des operations 
elementaires utilises dans de nombreux cryptosystemes , , 

15 tels que les cryptosystemes RSA (Rivest, Shamir and' 
Adleman) ou les cryptosystemes DH {Diffie and Hellman).' 
Pour de telles applications, x est par exemple un message 
a chiffrer ou dechiffrer, a signer ou a authentif ier , et 
d est par exemple une cle publique, une cle secrete, ou 

20 une partie d'une telle cle. 

Depuis 1» invention de la cryptographie a cle publique par 
Diffie et Hellman, de norabreux cryptosystemes a cle 
publique ont ete proposes, Parmi ceux qui resistent a 
1' analyse cryptographique, le cryptosysteme RSA est sans 
25 auGun doute le plus largement utilise. Sa' securite 
intrinseque reside dans la difficulte de factoriser des 
grands nombres entiers. En depit d'intensives recherches, 
le probleme de la factorisation est encore consid^re 
comme un important probleme, rendant le cryptosystdme RSA 
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sur pour des applications sensibles comnie par exemple le 
chiffrement de donnees ou la signature digitale. 

Aussi, plutot que de tenter de casser I'algorithme RSA a 
un niveau math^matique, les cryptographes se sont 
int§ress6s axix implementations concretes des 
cryptosystdmes RSA. Ceci a conduit k 1 ' essor des attaques 
par fautes et des attaques a canaux caches, visant a 
dgcouvrir notamment des informations conf identielles 
(comme par exemple des cl^s ou des parties des clgs) 
manipulees au cours de l«une ou de 1 ' autre des Stapes 
mises en ceuvre par le dispositif de calcul executant une 
operation cryptographique . 

Les attaques a canaux caches les plus connues sont dites 
simples ou dif f erentielles . On entend par attaque a canal 
15 cache simple (SPA) ou dif f erentielle (DPA) , une attaque 
basee sur la mesure d'une grandeur physique depuis 
I'exterieur du dispositif, dont 1 ' analyse directe 
(attaque simple SPA) ou 1 ' analyse selon une methode 
statistique (attaque dif f erentielle DPA) permet de 
decouvrir des informations manipulees dans le dispositif. 
Ces attaques ont notamment ete devoilees par Paul Kocher 
(Advances in Cryptology - CRYPTO- 99, vol. 1666 of Lecture 
Notes in Computer Science, pp.388-,397. Springer- Verlag, 
1999) . 

25 Parmi les grandeurs physiques qui peuvent ^tre exploitees 
a ces fins, on peut citer le temps d' execution, la 
consomraation en courant, le champ electromagngtique 
rayonne par la partie du composant utilis#e pour executer 
le calcul, etc. Ces attaques sont basees sur le fait que, 

30 au cours de 1 ' execution d'un algorithme, la manipulation 
d'un bit, c'est a dire son utilisation par une 
instruction particulidre, laisse une empreinte 



20 
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particuli^re sur la grandeur physique consideree, selon 
la valeur de ce bit et / ou selon 1 * instruction. 



II existe deux families d ' implementations des algorithmes 
5 d^ exponentiation permettant d'evaluer la valeur de y p= 
x'^d mod N : les implementations dites de droite a gauche 
et les implementations dites de gauche a droite. 

Dans les implementations de gauche a droite, on balaye 
les bits de I'exposant depuis le bit de poids le plus 

10 fort jusqu^au bit de poids le plus faible, Dans .cette 
deuxidme famille d ' algorithmes d ' exponentiation, est 
notamment connu 1 ' algorithme SAM (pour Square And 
Multiply ou elever au carre et multiplier) et ses 
variantes telles que les algorithmes S. fenetre glissante. 

15 Par rapport aux algorithmes dits de droite a gauche, les 
algorithmes de gauche a droite necessitent moins de 
memoix^e et permettent 1 ^ utilisation de puissances x'^i 
precalculees pour accelerer le calcul de y. Tous les 
algorithmes de gauche a droite ont en commun 

20 1 ' utilisation d'un accumulateur (ou registre) qu^on 
actualise tout au long du calcul pour memoriser la valeur 
de X d^„>;j^ mod M pour des valeurs decroissantes de i 

jusqu^a ce que 1 ' accumulateur contienne la valeur finale 
y = x"^ d^_>o = x^ d mod N , dk->j est le mot constitue des 

25 bits de poids j a k de d. 

Le principe general de 1^ algorithme SAM est le suivant. 
On note d = (d^, . . . , do)2 = Si=:o ^1-2'*' i r la representation 
binaire de I'exposant d, avec di e {O, l}, le bit de 
poids i de d. Pour chaque bit de d, 1' algorithme SAM 
30 memorise dans un accumulateur (registre RO) un resultat 
actualise calculi a partir de la relation de recurrence 
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<^m->i = (x" dn,_>i^i)2 * di , avec x^dn,->tn = x^d^, ce qui 
est resume par 1 " algorithme ci-dessous : 

Entree : x, d = (d^ , do)2 

Sortie : y = x^d mod N 
5 RO <- 1 ; R2 <- X, i <- m 

taut que i > 0, faire : 
RO <- ROxRO mod N 

si di = 1 alors RO <- R0xR2 mod N 
i <- i-1 
fin tant que 
retourner RO 



RO <- X signifie que 1 ' on memorise dans le registre RO la 
valeur de x. ROxRO signifie que I'on realise une raise au 
carrg du contenu du registre RO . R0xR2 signifie qu'on 
15 realise le produit du contenu du registre RO par le 
contenu du registre R2 . Enfin, di_>j fait reference aux 
bits de rang j a i de d. 



Pour prevenir les attaques d ■ implementation, il est connu 
20 qu'il faut rendre les algorithmes al^atoires . Dans le cas 
du cryptosystdme RSA, on connait actuellement deux types 
de contre-mesures pour rendre aleatoire le calcul de y = 
x'*'d mod N. 

Le premier type de centre -mesure consiste a rendre 
25 algatoire les donnges d' entree de 1 ' algorithme . 

Un premier exemple de cette premiere contre-mesure 
consiste S rendre aleatoire la donnge x avant de realiser 
1 ■ exponentiation modulaire, en ajoutant a x un terme 
aleatoire et a faire les calculs modulo 2^k N, avant un 
30 modulo N final : 

X <- X + rl.N, avec rl un nombre aleatoire de k-bits 
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et a faire les calculs modulo (2'^k) .N, avant une 
reduction modulo N finale. Cette preraidre contre-mesure, 
decrite par P. Kocher; presente 1 ' avant age d'§tre 
independante de 1 * algori thme d ' exponentiation * 

5 Un deuxieme exemple de cette premidre contre-mesure 
consiste a rendre aleatoire 1 ^ exposant d avant de 
realiser 1 ^ exponentiation modulaire, en lui ajoutant un 
terme aleatoire : 

d <- d + r2.(j){N), r2 un nombre aleatoire de k-bits. 

10 Le plus souvent, ces deux solutions sent combinees pour 
realiser 1» operation y = y mod N avec y - x*^ d 
mod(2^.N} . 

Un troisieme exemple de cette premiere contre-mesure 
utilis6e seule par exemple lorsque x est le resultat d^un 
15 forraatage probabiliste (par exemple a I'aide de la 
fonction PSS ou Probabilistic Signature Scheme) , car dans 
ce cas, X est deja masque et on calcule directement y = 
x'^ d mod N avec d = d + r2.cj)(N> avec r2 aleatoire • 

Malheureusement , une telle randomisation de 1 ' expos ant d 
20 est limitee a des implementations particulieres , appelees 
implementations CRT, du cryptosysteme RSA car la ^-aleur 
de la constante d'Euler (j) (N) n'est generalement pas connue 
de 1 ' algorithme d ' exponentiation prive dans sa version 
standard (c ' est-a-dire non CRT) . 

25 La deuxiSme contre-mesure consiste a rendre 1^ algori thme 
d» exponentiation lui-m@me aleatoire. La meilleure mise en 
pratique de la 2^""^ contre-mesure est l»algorithme MIST de 
Walter, L^algorithme MIST genere de maniere aleatoire une 
nouvelle chaine d* addition pour 1 » exposant d pour 

30 rSaliser x'^d mod Pour minimiser le nombre de 

registres, la chaine d' addition est realisee a la volee 
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par 1 ' intermediaire d ' une adaptation d'un algorithme 
d' exponentiation base sur des chaines de divisions, Un 
autre exemple est une version amelioree d ' un algorithme a 
fenetre glissante (voir Kouichi Itoh, Jun Yajima, 
Masahiko Takenaka and Naoya Torii. DPA countermeasures by 
improving the window method CHES 2002, volume 2523 of 
Lecture Notes in conputer Science, pages 303-317, 
Springer Verlag 2002) . Compare a la premiere contre- 
mesure, ceci permet de rendre algatoire 1 ' exponentiation 
sans avoir besoin de connaltre (j> (N) mais n^cessite un 
algorithme de division securis6 pour calculer les chaines 
de divisions et cause des soucis de gestion des calculs 
non nSgligeables . 

L' invention propose un nouveau precede pour rendre 
15 aleatoire 1' execution d ' une exponentiation modulaire, 
dans le but de prevenir les attaques dif f grentielles 
(DPA) , presentant les avantages des deux centre -mesures 
connues : comma dans la premiere contre-mesure, le 
precede selon 1 ' invention n" impose pas d" algorithme 
d' exponentiation particulier et s -applique a tout 
algorithme d ' exponentiation, et comme dans la deuxieme 
contre-mesure, dans 1' invention, 1 ' algorithme lui-meme 
est rendu aleatoire, et non plus seulement les donnees 
qu'il manipule. Ainsi, 1' algorithme n'a pas besoin de 
25 connaltre <j) (N) et / ou la clg publique e dans une 
exponentiation RSA (la cl^ e est souvent indisponible a 
1' algorithme de signature ou de dechif f rement ) . 

Le precede selon 1' invention introduit le concept de 
exponentiation auto-aleatoire, signifiant que I'exposant 
30 d est utilise lui-mgme comme une source additionnelle 
d'aleatoiritS dans le processus d' exponentiation. 

Ainsi, 1' invention concerne un precede cryptegraphique au 
cours duquel en realise une exponentiation modulaire de 
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type x^d, avec d un exposant entier de m+1 bits, en 
balayant les bits de d de gauche a droite dans une boucle 
indicee par i decremente de m a 0 par pas de 1 et en 
calculant et en memorisant dans un accumulateur , a chaque 
5 tour de rang i, un resultat partiel actualise egal a 
x'^bCi), b(i) etant les tn-i+l bits de poids les plus forts 
de 1 * exposant d , 

Le procede selon 1 ' invention est caracterise en ce que : 

- a la fin d'un tour de rang i(j) (i = i(0)) choisi 
10 al6atoirement , on realise une ^tape El de randomisation 

au cours de laquelle : 

El : on soustrait un nombre z (z= b(i(j)), z = 
b(i(j)) .2'^, z = u) aleatoire a une partie des bits de 
d non encore utilises (di_i->o) dans le proced^ 

15 - puis, apres avoir utilise les bits de d modifies par," 
1 * §tape de randomisation El, on realise une etape de 
consolidation E2 au cours de laquelle : 

E2 : on memorise (RO RlxRO) dans 1 ' accumulateur., 

(RO) le resultat de la multiplication du contenu de" 
20 1 ' accumulateur (x^b(i)) par un nombre fonction de x"^z 

memorise dans un registre (Rl) , 

D ' un point de vue pratique, au cours de 1 ' etape El, le 
nombre z est soustrait au contenu d'un registre dans 
lequel est memorise initialement 1 ' exposant d, et le 
25 resultat de la soustraction est memorise dans le meme 
registre, puis on continue de balayer les bits de b. 

Pour que le resultat de 1 * exponentiation x'^d mod N soit 
correct a la fin du procede, 1 ' etape de randomisation El, 
ne doit pas modifier les bits de d deja utilises dans le 
30 calcul (on rappelle que le procede utilise un algorithme 
de gauche i. droite), L' index i(j) auquel on realise la 
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randomisation El, choisi aleatoirement , doit done gtre 
choisi tel que les m-i(j)+i bits de poids les plus forts 
du registre contenant initialement 1 ' exposant d restent 
inchanges lors de 1 ' etape El. On appellera par la suite 
cette condition une condition de "consistance" . 
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L'idge essentielle de 1- invention st ainsi d'utiliser un 
decoupage du calcul de x^^d mod N de la forme : x^d = 
x^(d-z)*x^z (dScrit dans la demande de brevet fran(?ais n° 
02 04117 (n° a confirmer) avec z un norabre aleatoire 
utilise comme moyen de masquage de 1' exposant d. On 
choisit de preference des valeurs de z appropriees telles 
que x^z puisse etre obtenu facilement a partir de x^b 
deja calcule par ailleurs au cours du procgdS. A noter 
qu'un choix totalement aleatoire de z entralne un quasi 
doublement du temps de calcul. 

Le precede selon 1 - invention s> applique independamment de 
I'algorithme d • exponentiation de gauche a droite. Par 
ailleurs, le rang i { j ) auquel on realise 1 • etape El est 
choisi aleatoire done le precede lui-merae est aleatoire, 
et non pas seulement les donnees qu'il manipule . 

■Le proc^de selon 1 ' invention est egalement efficace en 
termes de place (il ne n^cessite qu'un seul registre de 
calcul supplSmentaire) et en terme de temps de calcul, 
comme on le verra mieux par la suite dans I'exemple de 
1 ' algorithme SAM . 



Le precede selon 1' invention est encore facile k mettre 
en (suvre quel que soit I'algorithme auquel il est 
applique : il ne repose sur aucune propriete de groupe et 
30 sa mise en oeuvre ne n^cessite pas de connaitre au 



1 er depot 



9 

prealable 1 * ordre du groupe dans lequel 1 * exponentiation 
est realisee* 

Enfin, le proc#d6 selon 1' invention pent etre utilise 
conjoint ement avec d*autres mesures de protection des 
5 algorithmes / comme par exemple les centre mesures 
devoil^es par P. Kocher et rappelees prec)§detnment . 



L^etape El de randomisation peut etre realisee une seule 
fois au cours du procede . L*§tape El peut egalement etre 

10 realisSe plusieurs fois, §. la fin de differents tours de 
rang i(j) (c ' est~a-dire au rang i = i(0), puis au rang i 
= i{l), puis enfin au rang i = i (f ) ) choisis 

al§atoirement entre 0 et m. L'idee est ici d'ameliorer 
encore la securite du procede en utilisant la relation : 

15 x^d = x^ (d~zl-z2-...-zf ) xx'^zlxx'^z2x xx'^zf 

= x'^ ( ( (d-zl) -z2) -...-zf ) X ( (x'^zl) xx'^s2) X „, xx^zf 

On peut choisir au debut du procede le ou les rangs i(j) 
aleatoires auxquels on realise une randomisation El. Par 
exemple, au debut du procede , on determine un ensemble 

20 predefini {i(0), i(l), i (f ) } de f + 1 (f etant aleatoire 

ou non) valeurs de 1 ' index i pour lesquelles on souhaite 
realiser une randomisation El. Dans ce cas , a chaque 
tour, on decide de realiser ou non une randomisation El 
selon que 1 ' index courant i fait partie ou non de 

25 1 * ensemble predefini . 

On peut aussi choisir aleatoirement au debut de chaque 
tour i de realiser ou non 1 * etape El de randomisation, 
Dans ce cas, on utilise par exemple une variable 
bool^enne p, tiree aleatoirement a la fin de chaque tour 
30 d ' index i . 
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Differents modes de realisation de 1 - invention vont 
maintenant %tre decrits, qui different I'un de 1' autre 
essentiellement par le mode de realisation de I'etape El, 
et notamment par le choix de z et par le choix de la 
partie de d a laquelle on soustrait z. 



10 



Selon un premier mode de realisation, on choisit de 
r^aliser I'etape de consolidation une seule fois a la fin 
du precede . Ceci impose de soustraire z systematiquement 
aux bits de poids les plus faibles de 1 ' expos ant d, de 
sorte a obtenir un rSsultat correct a la fin du procedg . 



Selon une premiere variante de ce mode de realisation, on 
15 choisit z = b(i(j)) = dn,_>i(j) pour un nombre aleatoire 
l(j) choisi et, au cours de I'etape de randomisation El, 
on soustrait b(i{j)) id, c'est-a-dire aux bits de poids 
les plus faibles de d. 



20 



Le choix z = b(i(j)) est particulidrement avantageux 
puisque x-b(i(j)) = xMr„.>i(j) est deja disponible dans 
I'accumulateur a la fin du tour i(j) et n'a done pas 
besoin d-gtre calcule. La variable i(j) est choisie telle 
que les bits de poids i(j) H m du nombre d-b(i(j)) soient 
ggaux aux bits de poids i(j) du nombre d, de sorte que 
25 les m-i(j)+i premiers tours du calcul de x^d sont 
identiques aux m-i{j)+i premiers tours du calcul de x^ (d- 
b(i(j))) (condition de consistance) . A la fin du tour 
i(j), on calcule d-2 = d-b(i(j)) et on memorise le 
contenu de I'accumulateur x^b dans le registre (El). 
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Dans un exemple particulier, une variable booleenne p est 
utilisee pour determiner, a la fin de chaque tour d* index 
i, si on realise ou non une randomisation. Si p prend une 
valeur active, alors on realise 1 ' etape El : on remplace 
5 le nombre d par le norabre d~b(i(j}} et on memorise 
x"b{i{j)) . 

Comme dans 1 ' algorithme de gauche a droite classique, 
1 ' accumulateur RO est utilise pour conserver la valeur de 
x^dtti^>i, a chaque tour d^ index i. On utilise le registre 
10 Rl pour conserver le produit : Hj^^^'^ d.^->i(j) • 

Le tout applique a I'algorithme SAM connu, on obtient le 
1 ' algorithme I suivant : 

Entree : x, d = (d^^, . . - / do)2 

Sortie : y = x'^d mod N 

RO <- 1 ; Rl <- 1 ; R2 <- X ; i <- m 
tant que i > 0 , f aire : 
RO <- ROxRO mod N 

si di = 1 alors RO <- R0xR2 mod N 

p <- R{0, 1} 

si ( (p = 1) ET di„i^o > d^^i alors 
d ^ d d^~>i 
Rl <- RlxRO mod N 
fin si 
i <- i-1 
fin tant que 
RO <- ROxRl mod N 
retourner RO 

p <- R{0, 1} signifie que 1 ^ on choisit la valeur de p 
aleatoirement dans 1 ' ensemble {O, 1} . p est ainsi une 
30 variable booleenne aleatoire* 



20 



L'etape de randomisation El (d <- d ~ dni->i(j) ; Rl <- 
RlxRO mod N) est realisee uniquement si p = 1 (c'est-a- 



1 er depot 



12 

dire si une randomisation doit gtre r^alisee) et si di(j)_ 
l->0 ^ dm->i(j) . 

La condition di(j)_i_>o ^ dm->i(j) signifie que les bits de 
poids 0 ^ i-l de d sont superieurs a b(i(j)), b(i(j)) 
5 etant ggal aux bits de poids i(j) a m de d. Ceci permet 
de garantir que les m-i+1 bits de poids les plus forts de 
d-b(i(j)) sont identiques au:K: m-i+1 bits de poids forts 
de d, et done que les m-i+1 premiers tours du calcul de 
x'^d sont identiques aux m-i + 1 premiers tours du calcul de 
10 x"(d-b{i(j) ) ) . 

La condition de "consistance" {di(j)_i_>o ^ dm->i(j)) 
implique que seulement les bits de poids faibles de 
I'exposant d sont rendus algatoires . De plus, on remarque 
que I'etape de randomisation d <- d - d„i.>i(j) modifie 
uniquement les (m-i(j)+i) bits les moins signif icatif s de 
d. 

A noter que, dans 1 ' algorithme I, comme a 1 ' iteration i = 
i(j) I'etape de mise a jour d <- d - dm_>i ne modifie pas 
les (ra-i+1) bits les plus signif icatif s de d, cette etape 
20 peut gtre remplacee par 1 ' etape equivalente : 
di-i->o <- di_i->o - dni_>i. 




15 



25 



30 



Selon une deuxi§me variante du premier mode de 
realisation, on choisit z ggal g.b(i), avec g un nombre 
aleatoire tel que di(j)_i_>o > g.dn,->i{j). On utilise dans 
ce cas la relation x^d = x^(d-z).x^z = x'" (d- 
g . b ( i) ) . (x^b (i) ) 9 . et, d'un point de vue pratique, pour 
realiser une randomisation El a la fin du tour d" index 
i(j) : 

- on calcule z = g.b(i) et on soustrait le resultat t 
1 ' exposant d. 
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- le registre Rl est mis a jour en multipliant son 
contenu par le contenu de 1 ' accumulateur (x'^b(i)) 
expose a la puissance g. Ce qui concretement peut 
etre realise par 1 ^ instruction Rl <- RlxRO^g mod N. 

5 On choisit de preference g = 2'^, x etant un nombre entier 

aleatoire. Ceci simplifie considerablement les calculs 
car le calcul de g.b(i) = revient a un simple 

decalage de bits et 1 ' evaluation de (x^b(i))'^g mod N 
revient a realiser le calcul de x carres . 



10 Puisque multiplier par 2"^ revient a un decalage de bits^ 
1 ' instruction d d - 2'^.dm->i qui calcule d~g.b(i) peut 
etre remplacee par dm->x <- dtn~>T - dm->i ou mieux, par 
1 ' instruction 6quivalente di-i->x <- di-i->x - dm->i- 

De plus, corame pour les autres modes de realisation., on 
15 doit verifier que a I'iteration i=i(j), di-i_>o ^ 2'^.dtn->i. 
Cette condition de consistance peut etre remplacee par un 
test equivalent mais plus efficace : di-i->T: > dm-i- 

De preference, on choisit t aleatoire dans 1 ^ ensemble {o, 
, T} . La borne T est choisie comme le meilleur compromis 
20 entre la randomisation des bits les plus signif icatif s de 
d et l^efficacite (en terme de temps de calcul notamment) 
du calcul des x carres. 



10 
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Dans I'exemple particulier de 1 ' algorithme SAM, on 
obtient finaletnent 1' algorithme I' suivant . 
Entree ; x, d = (d^ , do)2 

Sortie : y = x'*'d mod N 

RO <- 1 ; Rl <- 1 ; R2 <- X ; i <- m 
tant que i > 0, faire : 
RO <- ROxRO mod N 

si di = 1 alors RO <- R0xR2 mod M 
p <- R{0, 1} ; T <- R{o, T} 
si ((p = 1) ET (di_i^^ ^ d^-i)) alors 
di-i-^T <- di_i_j.T. - dnj_>i 
R3 <- RO 

tant que (x > 0) faire 

R3 <- R3'^2 mod N ; x <- x-i 
fin tant que 
Rl <- RlxRB mod N 

fin si 
i <- i-1 
fin tant que 
20 RO <- ROxRl mod N 

retourner RO 

Un avantage de !• algorithme !■ est qu ■ on randomise en 
• partie la moitie supgrieure de d et qu'on a j cute en 
consequence de 1 ' entropie (c • est-a-dire de 

25 I'alSatoirite) . Par centre, un registre supplementaire R3 
est necessaire pour calculer R0^2'^. 




15 



Les algorithmes I et I ■ peuvent gtre suffisants pour 
proteger les exposants dans certains cas . Par exemple, en 
raison de sa construction, le cryptosystdme RSA d^voile 
toujours la moitie la plus significative de 1 > exposant d 
prive si 1 ' exposant public correspondant est petit. 
Rendre aleatoire les bits de poids forts de d 
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n ' apporterait done aucune protection pour un tel 
algorithme . 

ToutefoiS/ pour d'autres algorithmes et dans d'autres 
situations, rendre aleatoire tous les bits de d 
5 apporterait une securite supplementaire . 

Pour cela, on propose, dans un deuxieme mode de 
realisation, de choisir z = b(i(j)) = dm->i{j) pour un 
noiT±)re aleatoire i(j) et, au cours de 1 ^ etape El, on 
soustrait b(i) non plus i. d, mais a une partie des bits 
10 de d correspondant aux bits de d de poids i(j)-c{j) a 
i(j)-l, c(j) etant un nombre entier tel que i(j)>c(j)>0, 
Ceci peut etre exprim6 par 1 * instruction suivante : 
dm->i(j)-c(j) dm->i(j)-c(j) - dm.>i(j) 

15 Pr6f ^rentiellement , comme lors de 1 ' etape El d'une 
randomisation au rang i{j), on tnodifie les bits de poids 
i{j) — c(j) a i{j) - 1 de d et on choisit de ne realiser 
qu'une seule randomisation a la fois, et on choisit de 
realiser une etape de consolidation a la fin du rang 

20 utilisant le dernier bit de d modifie lors de 1 * etape de 
randomisation El precedente (et non plus a la fin du 
precede), c ' est a dire apres 1 ' evaluation du resultat 
partiel (dni->i ( j ) -c ( j ) ) ^od N. 

Ceci revient a imposer la condition i(j+l) < i(j) - c(j), 
25 i(j+l) etant 1 ' index de la randomisation suivante. Ceci 
permet de ne pas utiliser de registres supplementaires 
pour memoriser les bits de I'exposant qui ont ete 
modifies lors d'une randomisation pr^c^dente. Egalement, 
on choisit i(j) - c(j) < 0, de sorte que i(j) - c(j) 
30 puisse etre utilise pour definir le rang d'un bit de d 
pour le calcul de x'^ (dTn->i ( j ) -c (j ) ) niod N, 
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Ces deux conditions peuvent etre concretis^es par 
1 -utilisation d'un semaphore booleen a qui indique si una 
mise a jour est autorisee ou pas : a a une valeur 
inactive tant que i > i ( j ) - c { j ) et est activee lorsque 
5 i< i(j) - c(j). Elle devient de plus inutilisable des que 
i (j ) - c (j ) < 0 . 

Les {m-i(j)+i) bits de poids les plus forts de d res tent 
inchanggs lors de 1 ' Stape de randomisation si (condition 
de consi stance) : 

(i(j) - 1) - {i(j) - c{j) ) > m - i(j) ^ c(j) > m - i(j) + 1 



Selon una premiere variante du deuxidme mode de 
realisation, on choisit c{j) egal a m-i(j)+i. Avec la 
15 condition i(j) > c(j) > o, la condition c(j) > m - i(j) + 
1 est verifiee si 2.i(j) > m+1. 
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L ' algorithme SAM modifie selon cette variante peut alors 
s'ecrire (algorithme II) : 

Entree : x, d = (d^, • . • / do}2 

Sortie : y = x^d mod N 
5 RO <- 1 ; Rl <- 1 ; R2 <- X ; 

i <-m; c<- -1 ; a<- 1 
tant que i > 0, faire : 
RO <- ROxRO mod N 

si di = 1 alors RO <- R0xR2 mod N fin si 
10 si (2i > m+1) ET (cr = 1) alors c <- m-i + 1 

sinon a = 0 

fin si 

p <- R{0, 1} 

8 <- p ET (di-.i -> i-c ^ dTn->i) ET a 
15 si s == 1 alors 

Rl <- RO ; a <~ 0 

~> i~c <" ^^i-l ~> i~c " -> i 

fin si 

si c = 0 alors RO <- ROxRl mod N ; a <- 1 
20 fin si 

c <- c-1 ; i <- i-1 
fin tant que 
retourner RO 

On notera que 1 * algorithme I correspond a 1' algorithme II 

25 dans le cas ou c(j) = i(j) pour tout j. On notera 

egalement que dans 1 ' algorithme II, la condition de 
consistance ( di(j)_i^i(j)_c(j) > d^^i(j)) est satisfaite durant 

la premiSre partie de 1 ' algorithme , en considerant de 
maniSre approximative que di(j)„3^_^i(j)„c(j) ^ra~>i(j) ^ont des 

30 nombres aleatoires de (m-i(j)+l) bits. On notera, dans 
cet algorithme, que tous les bits de I'exposant sont 
randomises . 
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Selon une deuxieme variants du deuxieme mode de 
realisation, on choisit c(j) aleatoire et compris entre 
i (j) et m-i (j) +1. 

On a vu precgdemment que la condition c ( j ) > m - i ( j ) + i 
doit gtre vgrifiee. En posant c(j) = m - i(j) + i + v(j), 
on doit done verifier v(j) > o. Par ailleurs, avec la 
condition i(j) > c(j) > o, il vient 2.i(j) > m+l+v(j). 
Done la plus grande valeur possible pour v(j) est 2.i(j)- 
m-1 et done, comme v(j) >o, le paramdtre c(j) = m- 
i(j)+l+v{j) peut prendre toute valeur dans 1- ensemble {m- 
i{j)+l, i(j)}. On peut alors generaliser 1 ' algorithme 

II en choisissant c(j) aleatoire dans 1' ensemble {m- 
i(j)+l, i(j)}. 

Dans 1' example particulier de 1> algorithme II cela 
revient a remplacer 1 • instruction : 

si (2i > m+1) ET (ct = 1) alors c <- m-i+1 



par 1 ' instruction : 

si (2i > m+i) ET (a = 1) alors c <- 



R{m-i+l, i} 
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ce qui donne 1 * algorithrae III suivant : 

Entree : x, d = (d^^, - • . / do)2 
Sortie : y = x^d mod N 
5 RO <- 1 ; Rl <" 1 ; R2 <- X ; 

i<-m; c<-~l;a<~l 
taut que i > 0, faire : 
RO <- ROxRO mod N 

si di = 1 alors RO R0xR2 mod N fin si 
10 si {2i > m+1) ET (a = 1) 

alors c <- R{m-i-fl, i} 
sinon a = 0 

fin si 

p <- R{0, 1} 

15 S <- p ET (di-i -> i-c ^ c3.Tn->i) ET Cf 

si 8 = 1 alors 

Rl <- RO ; a <- 0 

d-i-i -> i-c <*" ^i-l -> i-c " -> i 

fin si 

20 si c = 0 alors RO <- ROxRl mod N ; a <- 1 

fin si 

c <- c-1 ; i <- i~l 
fin tant que 
retourner RO 

25 Une valeur plus grande pour v(j) augments la probabilite 
de succes pour la condition de consistance (et done pour 
le choix d'une randomisation). D'un autre c6te, cela 
reduit egalement les valeurs possibles de 1 ^ indexe i 
verifiant la condition 2,i(j) > m+l4-v(j). 



La frequence d* occurrence de la valeur p = 0 de la 
variable booleenne p est un parametre du precede 
permettant de choisir le meilleur compromis entre 
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performance et securite, en fonction de 1 • application 
envisages : plus on realise d'etapes de randomisation, 
plus on penalise le temps de calcul global ; inversement, 
tnoins^ on realise d'etapes de randomisation, plus 
facilite les attaques par recherche exhausti 



on 
ve . 



Un bon moyen pour minlmiser le cout des operations 
additionnelles consiste a modifier legdrement le 
genSrateur de nombres aleatoires produisant le nombre p 
de sorte que, loraque le poids de Hamming de d-2 (z peut 
avoir diffgrentes valeurs en fonction de b(i), selon le 
mode de realisation envisage) est plus faible que le 
poids de Hamming de d, pa une plus forte probabilite de 
valoir 1, et inversement. Avec cette astuce, I'algorithme 
va tendre a selectionner le cas ayant le plus faible 
poids de Hamming, c'est-a-dire la branche la plus rapide. 



I ours 



On note seulement que cet algorithme ne peut pas touj( 
selectionner la branche la plus rapide, sinon, il 
deviendrait deterministe et done facilement attaquable. 



20 selon un troisieme mode de realisation de 1' invention, on 
choisit au d^but du procede un nombre u aleatoire de v 
bits et on memorise x"u dans le registre Ri . De 
preference, le nombre u est modifie plusieurs fois au 
cours du precede, pour augmenter le facteur aleatoire 
dans le procede . 



25 



Puis, au cours du calcul, pour un rang i(j) donne, on se 

demande, pour un paquet w de v bits de d tel que w>u, si 

le calcul de x^w est plus couteux (en terme de temps de 
calcul) que celui de x"^ (w-u) *x'^u . 
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Pour r§pondre a cette question, il suffit de determiner 
si H{w) > H(w-u) + 1, H(w) est le poids de Hamming de w, 
il est representatif du cout de 1' operation x^w, H(w-u) 
est le poids de Hamming de x'^ (w-u) , representatif de 
5 x*^ (w-u) . Le terme " +1*^ est representatif du cout de la 
multiplication de x'^ (w-u) par x'^u (x'^u etant memorise par 
ailleurs) . 

Si le calcul de x'^w est moins couteux que le calcul de 
x^(w-u)*x^u, alors on continue le procede . Sinon, si le 

10 calcul de x'^w est plus couteux que le calcul de x'^ (w- 
u) *x^u, alors on remplace le paquet w de bits de d par le 
nombre w-u. L'etape de consolidation (ici, une 
multiplication par x^u, qui ce traduit par 1' operation RO 
<- ROxRl mod N) sera realisee lorsque tous les bits de d 

15 modifies auront ete utilises . 

Par rapport aux deux precedents modes de realisation 
decrits, ce troisieme mode de realisation presente 
I'avantage d^etre plus rapide, puisque, pour effectuer-; 
une randomisation, on choisit chaque fois le chemin le 

20 plus rapide (le moins couteux). Ainsi, on montre . 
experimentalement que la complexite de ce procede est 
d' environ 1.4. La complexite est le nombre moyen de 
TTiultiplications de contenus de registres realisees pour 
chaque bit de 1 ' exposant d* La complexite d ' un algorithme 

25 SAM non protege est de 1.5 ; la complexite des precedes 
selon le px^emier ou le deuxieme modes de realisation de 
1^ invention est quant a elle legdrement superieure & 1.5. 

Par ailleurs, dans ce troisieme mode de realisation, la 

source d * aleatoiritS (le nombre u) est exterieure au 

30 procede- Enfin, les ressources (notamment le nombre de 
registres) utilisees sont les memes . 
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Ce troisieme mode de realisation peut gtre concretisg par 
1 'algorithme IV suivant : 

Entree : x, d = (d^ , do)2 

Paramdtres : v, k 
Sortie : y = x^d mod N 

RO <- 1 ; R2 <- X ; ± <- m ; L = {} 

tant que i > 0, faire 
RO <- ROxRO mod NT 

si di = 1 alors RO <- R0xR2 mod N fin si 
si i = m mod( (m+l)/k) ) alors ct <- i fin si 
si a = 1 et I, = {} alors 

(modification du nombre u en cours de procede) 

C7 <- 0; u <- R{0, 2V-1} . 
Rl = x'^u mod N 
fin si 

h <- H(w) 

si w > u alors A <- w-u ; hA <- 1 + H(A) 
sinon <- v+2 

fin si 

P <- R{0, 1} 

si [ (CT=0)A(i-V+l>0) ] A 

[(h>hA)OU( (p=l)ET(h=hA) )] alors 
(on choisit de rSaliser (w-u) ) 

di->i-v+l <- A ; L <- L KJ {i-v+l} 

fin si 

si (i 6 L) alors 

RO <- ROxRl mod N 
L <- L \{i} 
fin si 
i <~ i-i 
fin tant que 
retourner RO 
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Dans cet example, 1' ensemble L contient la liste des 
indices pour lesquels une Stape de consolidation doit 
etre realisee. L ' instruction "si di = 1 alors RO <- R0xR2 
mod N fin si" est 1 ' instruction classique d*un algorithme 
5 SAM, r^alis^e pour chaque valeur de i. 

L ^ exposant d est ici decoupe en k blocs, de taille 
identique si m+1 est divisible par k ou de taille 
identique a une unite pres sinon, 

A chaque debut de bloc (c^est a dire pour i = m 
10 mod( (1+1) /k) ) , on met la variable a & 1- Ensuite, quand a 
vaut 1, il faut attendre que 1' ensemble L soit vide avant 
d'effectuer une nouvelle etape de randomisation. A chaque 
etape de consolidation, on enleve un indice i(j) 
correspondant de 1' ensemble If (instruction L <- L \{i})* 
15 Lorsque 1 ' ensemble Is est vidS, une nouvelle valeur de u 
peut §tre choisie et x^u est calcule par un algorithme 
SAM classique utilisant les registres Rl et R2 . 

Au milieu de chaque bloc (a = 0) , on realise une ou 
plusieurs etapes de randomisation, lorsque h>hA ou (p=l et 

20 h = hA) / et on memorise a chaque fois (instruction 
1/ <- 1/ U {i-v-fl}) 1 ' indice i(j)~v+l auquel on devra 
effectuer une etape de consolidation. Il faut done que i- 
v+1 soit un indice de consolidation valable, c^est-a-dire 
que i~v+l >0 (condition de consistance) . A chaque gtape 

25 de randomisation, si h > hA, on choisit de realiser 
1' operation x^ (w-u) *x'^u, moins couteuse, et on modifie 
les bits de d en consequence {di->i-v+i <- A) . Si h < hA/ on 
choisit de realiser x'*"w, moins coQteuse, et on ne modifie 
pas d. Si h = hA, on choisit aleatoirement (p = 0 ou 1 

30 aleatoire) de realiser x'*' (w-u) *x'^u ou x'^w. 
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A titre indicatif, on donne le nombre moyen de 
multiplications modulaires necessaires pour realiser une 
exponentiation de longueur 1024 avec 1 • algorithme SAM, 
prot^gg ou non : 

• SAM sans protection : 1536 multiplication 

• SAM protggS en ajoutant un multiple de <l>(n) (r.(D(n) 
avec r de 64 bits) ajoutS a I'exposant d (art 
anterieur) : 1536 + 96 multiplications 

• SAM prot^gg selon 1' algorithme II ou III : 1535 + 10 
multiplications 

• SAM protggg selon _ 1 ' algorithme I> : 1536+512 
multiplications, p, p etant la valeur moyenne de p 

• SAM protege selon 1' algorithme iv : 1443 
multiplications 

15 On constate par ces exemples qu'un algorithme protgge 
selon 1' invention est trgs efficace, en terme de 
multiplications realisges (et done de temps de calcul) . 



ler d6p6t 

■ » 



Modifiee le 08/06/04 



25 



REVENDICATIQN5 



1 . Procede cryptographigue dans un composant 
Slectronique au cours duquel on realise une 
exponentiation modulaire de type x'^d, avec d un exposant 
entier de m+1 bits, en balayant les bits de d de gauche a 
5 droite dans une boucle indicee par i variant de m a 0 et 
en calculant et en Triemorisant dans un accumulateur (RO) , 
a chaque tour de rang i, un resultat partiel actualist 
#gal a x'^b(i), b(i) etant les m-i+1 bits de poids les 
plus forts de 1 ^ exposant d (b(i) = dni->i) / 



10 le procede etant caracterise en ce que, a la fin d^un 
tour de rang i(j) (i = i(0}} choisi aleatoirement , on 
realise une etape El de randomisation au cours de 
laquelle : 

El : on soustrait un nornbre 2 (2= b(i(j)), z 
15 b{i(j)) .2*^, z = u) aleatoire a une partie des bits de 

d non encore utilises (di-i->o) dans le procede 



puis, apres avoir utilise les bits de d modifies par 
1^ etape de randomisation El, on realise une etape de 
consolidation E2 au cours de laquelle : 
20 E2 : on memorise (RO <- RlxRO) dans 1 ' accumulateur 

(RO) le resultat de la multiplication du contenu de 
1 ' accumulateur (x'^b(i)) par un nornbre fonction de x^z 
memorise dans un regis tre (Rl) . 

2. Procede selon la revendication precedente, dans 
25 lequel 1 ^ etape El est repetee une ou plusieurs fois, a la 
fin de differents tours de rang i(j) (i = i(0), i = i(l), 
choisis aleatoirement entre 0 et m. 



regue le 08/06/04 
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REVENDICATIQNS 



1. Precede cryptograph! que dans un composant 
electronique au cours duquel on realise une 
exponentiation modulaire de type x^d, avec d un exposant 
entier de m+l bits, en balayant les bits de d de gauche a 
droite dans une boucle indicee par i variant de m a 0 et 
en calculant et en memorisant dans un accumulateur (RO) , 
a chaque tour de rang i, un resultat partial actualise 
egal a x^b{i) , b(i> etant les m-i+l bits de poids les 
plus forts de 1* exposant d (b(i) = din-.>i) , 

le procede etant caracterise en ce que, a la fin d'un 
tour de rang i(j) (i = i(0)) choisi aleatoirement , on 
realise une etape El de randomisation au cours de 
laquelle : 

El : on soustrait un nombre z {z=: b(i(j)), z = 
b(i(j)).2'^, z = u) aleatoire a une partie des bits de 
d non encore utilises (di-.i->o) dans le procede 

puis, apres avoir utilise les bits de d modifies par 
1» etape de randomisation El, on realise une etape de 
consolidation E2 au cours de laquelle : 

E2 : on memorise (RO <- RlxRO) dans 1 ' accumulateur 
(RO) le resultat de la multiplication du contenu de 
1 • accumulateur (x'^bd) ) par un nombre fonction de x^z 
memorise dans un regis tre (Rl) . 

2. Procede selon la revendication precedente, dans 
lequel 1 ' etape El est repetee une ou plusieurs fois, a la 
fin de differents tours de rang i(j) (i = i(0), i = i(i)^ 
-„) choisis aleatoirement entre 0 et m. 
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3. Procede selon la revendication precedente, dans 
lequel/ a chaque tour i, on decide aleatoirement (p=l) si 
on realise 1 * etape El ou pas. 

4. Procede cryptographique selon 1 * une des 
5 revendi cations 1 a 3, dans lequel le nombre z (z= 

b(i(j)), z = b(i(j)).2'^) est fonction de 1 ' exposant d, 
dans lequel; lors de 1 ' etape de randomisation, on 
memorise (Rl <- ROxRl) egalement dans un regis tre (Rl) le 
resultat de la multiplication du contenu de 
10 1 ' accumulateur (x'^b(i)) par le contenu du dit registre 
(Rl) • 

5. Procede selon la revendication 4, dans lequel 1 ' ^tape 
de consolidation E2 est realisee apres le dernier tour de 
rang i egal a 0 . 

15 6. Proc€de selon la revendication precedente^ au cours 
duquel, lors de 1* etape El, on soustrait S d le nombre 
b(i). 



I 
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3 . Precede selon la revendication precedente, dans 
lequel, a chague tour i, on decide aleatoirement {p=l) si 
on realise 1 ' etape El ou pas . 

4. Procede cryptographique selon I'une des 
5 revendi cations 1 a 3, dans lequel le noinbre z (z= 

b(i(j)), z = b(i(j)).2'^) est fonction de I'exposant d, 
dans lequel, lors de 1' etape de randomisation, on 
memorise (Rl <- ROxRl) egalement dans un registre (Rl) le 
resultat de la multiplication du contenu de 
10 1 ^ accumulateur (x^b(i)) par le contenu du dit registre 
(Rl). 

5. Procede selon la revendication 4, dans lequel 1 ' etape 
de consolidation E2 est realisee apres le dernier tour de 
rang i egal a 0. 

15 6. Procede selon la revendication precedente, au cours 
duguel, lors de 1' etape El, on soustrait a d le noinbre 
b(i) • 

7, Procede selon la revendication 6, au cours duquel, 
pour calculer y = x^d mod N, on realise les etapes 
20 suivantes : 

A : initialisation des regis tres RO, Rl, R2 et d'une variable de 
boucle i : 

RO <- 1 ; Rl <- 1 ; R2 <- X ; i <- m 

B : tant que i > 0, repeter les etapes suivantes : 

^ • niultiplication du contenu du registre RO par lui-meme modulo N 
et memorisation du resultat dans le registre RO 

RO <~ ROxRO mod N 

b : si di = 1 alors multiplication du contenu du registre RO par 
1® contenu du registre R2 modulo N et memorisation du resultat 
30 dans RO 

si di = 1 alors RO <- R0xR2 mod N 

c : choix aleatoire d'une valeur de la variable p parmi deux 
valeurs, 0 et 1 

p R{0, 1} 



ler depot 



Modifiee le 08/06/04 



27 

7. Precede selon la revendication 6, au cours duquel on 
realise : 

Entree : x, d = (d^^, . * . , dQ)2 

Sortie : y x'^d mod N 
5 RO <- 1 ; Rl <~ 1 ; R2 <- X ; i <- m 

tant que i > 0, faire : 
RO <- ROxRO mod N 

si di = 1 alors RO <- R0xR2 mod N 
p <- R{0, 1} 

10 si ( (p = 1) ET di_i_^o ^ ^in-i alors 

d <- d - dj^^>i 
Rl <- RlxRO mod M 
fin si 
i <- i-1 

15 fin tant que 

RO <- ROxRl mod N 
retourner RO 

8. Procede selon la revendication S, au cours duquel 
I'etape El est modifiee comme suit : 

20 El : on soustrait a d un nombre egal a g,b(i), g 

etant un nombre entier positif ; on eleve le resultat 
partiel actual (x'^b(i)) a la puissance g et on 
memorise le resultat dans le registre (Rl) . 

9. Procede selon la revendication precedente, dans 
25 lequel g est egal a 2'^, x etant un nombre aleatoire choisi 

entre 0 et T. 
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d : si ( (p = 1) ET di_i^o ^ d„i_i alors 

aa : soustractipn des bits de rangs i a m de la variable d k 
la variable d et memorisation dans la variable d 

d 4- d - dj„_>i 

5 bfo : multiplication du contenu du regis tre Rl par le contenu 

du registre RO modulo N et m^orisation du resultat dans Rl 

Rl <- RlxRO mod N 

fin si 

e : decrementation de la variable i : 
10 i <~ i-1 

fin tant que 

C : multiplication du contenu du registre RO par le contenu du registre 
Rl modulo N et memorisation du resultat dans RO 

RO <- ROxRl mod N 

15 D : retourner RO 



8, Procede selon la revendication 5, ^ au cours duquel 
1 ' etape El est modifiee coinme suit : 

El : on soustrait a d un nombre egal a g.b{i), g 
etant un nombre entier positif ; on eleve le resultat 
20 partiel actual (x'^b(i)) a la puissance g et on 

memorise le resultat dans le registre (Rl) . 

9. Procede selon la revendication precedente, dans 
lequel g est egal a 2^^, t etant un nombre al^atoire choisi 
entre 0 et T, 

25 10. Procede selon la revendication precedente, dans 
lequel, pour calculer y = x^d mod N, on realise : 

A : initialisation des regis tres RO, Rl, R2 et d'une variable de 
boucle i : 

RO <- 1 ; Rl <- 1 ; R2 <- X ; i <- m 

30 B : tant que i > 0, faire : 

a : multiplication du contenu du registre RO par lui-meme modulo N 
et memorisation du resultat dans le registre RO 

RO <~ ROxRO mod N 

^ = si dl = 1 alors multiplication du contenu du registre RO par 
35 le contenu du registre R2 modulo N et memorisation du resultat 

dans RO 

si di = 1 alors RO <- R0xR2 mod N 
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10. Proced§ selon la revendication precedente, dans 
lequel on realise : 

Entree : d = (d^, * - w dQ)2 

Sortie : y = x'^d mod N 
5 RO <~ 1 ; Rl <- 1 ; R2 <- X ; i <- m 

tant que i > 0, faire ; 
RO <- ROxRO mod N 

si di = 1 alors RO <- R0xR2 mod N 
p <- R{0, 1} ; T <- R{0, T} 
10 si { (p = 1) ET (di^i^^i; > d^^i)) alors 

di^l-^T <— di„i_j,T. - d^„>i 
R3 <- RO 

tant que (t > 0) faire 

R3 <- R3^2 mod N ; T <- T-1 
15 fin tant que 

Rl RlxR3 mod N 
fin si 
i <- i~l 
fin tant que 
20 RO <- ROxRl mod N 

retourner RO 

11. Precede selon I'une des revendications 1 a 4, dans 
lequel 1 ' etape de consolidation E2 est realisee a la fin 
du rang utilisant le dernier bit de d modifie lors de 

25 1 ' etape El . 

12. Proced6 selon la revendication 11, au cours duquel , 
lors de 1 * etape El, on soustrait le nombre b(i) aux bits 
de d de rang i(j) - c(j) a i(j)-l, c(j) etant un nombre 
entier et on memorise le contenu de 1 * accumulateur 

30 (x'*'b{i{j)) dans le registre (Rl) - 

13. Procede selon la revendication precedente, au cours 
duquel, lors du tour de rang i(j+l), on choisit 
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c : clioix al^atoire d»une valeur de la variable p paanni deux 
valeurs, 0 et 1 : 

P <- R{0, 1} ; 

d : choix aleatoire d*ime valeur de la variable T parini les 
valeurs 0 , . - - , T : 

T <- R{0, T} 
e : si ((p = 1) ET {di_i^^ > d^_i ) ) alors 

aa : soustraction des bits de rangs i a in de la variable d 
aux bits de rangs T k i-1 de la variable d et m^orisation 
dans les bits de rangs T a i-1 de la variable la variable d 

^i-l-^T ^ d±-i^x d.in~>i 

bb : memorisation du regis tre RO dans le regis t re R3 : 

R3 <- RO 

cc : tant que (t > 0) , elever au carre modulo N le contenu du 
regis tre R3 , memoriser Ice r^sultat dans R3 et decrementer la 
variable x 



tant que (T > 0) faire 

R3 <" R3'^2 mod N ; T <~ T-1 
fin tant que 

• multiplication du contenu du regis tre Rl par le contenu 
du regis tre R3 modulo N et memorisation du resultat dans le 
regis tre Rl 

Rl <- R1XR3 mod N 
fin si 

25 f : decrementer la variable i 

i <- i~l 

fin tant que 

C : multiplication du contenu du registre RO par le contenu du registre 
Rl modulo N et memorisation du resultat dans le registre RO 

30 RO <- ROxRl mod N 

D : retourner RO 

11. Procede selon l»ime des revendications 1 a 4, dans 
lequel 1 ' etape de consolidation E2 est realisee a la fin 
du rang utilisant le dernier bit de d modifie lors de 
35 1^ etape El. 



12. Procede selon la revendication 11, au cours duquel, 
lors de 1 ' etape El, on soustrait le nombre b(i) aux bits 
de d de rang i(j) - c(j) a i(j)-l, c(j) etant un nombre 
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aleatoirement de realiser 1 ' etape El uniguement si i{j+l) 
< i(j)-'C(j) . (a = 1 semaphore libre) . 

14. Precede salon la revendication 12 ou 13, dans lequel 
c(j) est egal a m-i(j)+l. 

5 15. Precede salon la revendication precedente, au cours 
duquel on realise les etapes suivantes : 
Entree : x, d = (d^^, . • - / do)2 

Sortie : y = x^d mod N 

RO <- 1 ; Rl <- 1 ; R2 <- x ; 
10 i<-m;c<--l;a<-l 

tant que i > 0, faire : 
RO <- ROxRO mod N 

si di = 1 alors RO R0xR2 mod N fin si 
si (2i > m+1) ET (a = 1) alors c <- m-i+1 
15 sinon a = 0 

fin si 

p <- R{0, 1} 

B <- p ET (di-i -> i-c ^ d.m->i) ET a 
si 8 = 1 alors 
20 Rl <~ RO ; a <- 0 

di-l -> i-c <" i-c *~ -> i 

fin si 

si c == 0 alors 

RO <- ROxRl mod N ; a <- 1 

25 fin si 

c <- c-1 ; i <- i-1 
fin tant que 
retourner RO 



16, Procede selon la revendication 12 ou 13, dans lequel 
30 c(j) est choisi aleatoirement entre i(j) et m-i(j)+l- 
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entier et on memorise le contenu de 1 ' acciomulateur 
(x^b(i(j)) dans le registre (Rl) . 

13. Precede selon la revendication precedente, au cours 
duquel, lors du tour de rang i(j+l), on choisit 

5 aleatoirement de realiser 1 ' etape El unicjuement si i(j+l) 
^ i(j)~c{j). (a = 1 semaphore libre) . 

14. Precede selon la revendication 12 ou 13, dans lequel 
c(j) est egal a m-i{j)+l. 

15. Precede selon la revendication precedente, au cours 
10 duciuel, pour calculer y = x^d mod on realise les 

etapes suivantes : 

A : initialisation des registres RO, Rl, R2 et des variables i, c, 0 : 
RO <- 1 ; Rl <- 1 ; R2 <- X ; 

i <- m ; c <" -1 ; a <- 1 
15 B : tant que i > 0, faire : 

a : multiplication du contenu du registre RO par lui-meme modulo N 
et m^orisation du resultat dans le registre RO 

RO <- ROxRO mod N 

^ = si di = 1 alors multiplication du contenu du registre R2 par 
20 le contenu du registre RO modulo N et m^orisation du resultat 

dans le registre RO 

si di = 1 alors RO <- R0xR2 mod N fin si 

c : si (2i > m+1) ET (a = 1) alors mise k jour de la variable c, 
sinbn mise a zero de la variable a 

25 si (2i > m+1) ET (c = 1) alors c m-i+1 

sinon a = 0 

fin si 

d : choix aleatoire d'une valeur de la variable p parmi deux 
valeurs, 0 et 1 : 

30 p <- R{0, 1} 

e : mise a jour de la variable e 

E <- p ET (di^i ^ <im->i) ET 0 

f : si e = 1 alors memorisation du registre RO dans le registre 
Rl, mise k zero de la variable a, soustraction des bits de rangs i 
^ m de la variable d aux bits de rangs i-c a i-1 de la variable d 
et memorisation du resultat dans les bits de rangs i-c a i-1 de la 
variable d 
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17. Precede selon la revendi cation precedente, au cours 
duquel on realise : 

Entree : x, d = (d^^, - . - / do)2 

Sortie : y = x'^d mod N 
5 RO <- 1 ; Rl <- 1 ; R2 <- X ; 

i <-m; c<- -1 ; 0"<~ 1 
tant que i > 0 , f aire : 
RO <- ROxRO mod N 

si di = 1 alors RO <- R0xR2 mod N 
10 si (2i > m+1) ET (a = 1) 

alors c R{m--i+l, i} 
sinon a = 0 
S <~ p ET (di^i i-c ^ cini->i) ET cr 
si 8 = 1 alors 
15 Rl <- RO ; CT <- 0 

d-i-i -> i-c <~ di^i -> i_c dm ~> i 

fin si 

si c = 0 alors 

RO <- ROxRl mod N ; a <- 1 
20 fin si 

c <- c-1 ; i <- i-1 
fin tant que 
retourner RO 

18. Procede selon 1 ' une des revendications 1 a 2^ dans 
25 lequel le nombre z est un nombre u (z - u) de v bits 

choisi aleatoirement et independant de 1 ' exposant d. 

19. Procede selon la revendication precedente, dans 
lequel, au cours de 1 ^ etape El, le nombre u est soustrait 
a un paquet w de v bits de d, 

30 20. Proced^ selon la revendication precedente, au cours 
duquel : 

• si H(w-u) + 1 < H(w), on choisit de realiser une etape 
El de randomisation, 
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si 8 = 1 alors 

Rl <- RO ; a <- 0 

<3i-i ~> i-c di-i -> " dm -> i 

fin si 

g : si c = 0 alors multiplication du contenu du registre Rl par le 
contenu du registre RO modulo N et memorisation du resultat dans 
le registre RO ; mise ^ 1 de la variable a 

si c = 0 alors 

RO <- ROxRl mod N ; a <- 1 

fin si 

h : decrementation des variables c et i 
C <- C-1 ; i <- i-l 
fin tant que 
C : retourner RO 



16, Procede selon la revendication 12 ou 13, dans legiiel 
c(j) est choisi aleatoirement entre i(j) et m-i{j)+l. 

17. Procede selon la revendication precedente, au cours 
duquel, pour calculer y = x^d mod N, on realise : 

A : initialisation des regis tres RO, Rl, R2 et des variables de boucle 
i, c, cr : 

RO <- 1 ; Rl <- 1 ; R2 <~ X ; 
i <- m ; C <- -1 ; a <- 1 
B : tant que i > 0, faire : 

a : multiplication du contenu du registre RO par lui-meme modulo N 
et m^orisation du resultat dans le registre RO 

RO <- ROxRO mod N 

b : si di = 1 alors multiplication du contenu du registre R2 par 
le contenu du registre RO modulo N et memorisation du resultat 
dans le registre RO 

si di 1 alors RO <~ R0xR2 mod N 

; si (2i > m+1) ET (a = 1) alors cboix d'une valeur de c 

aleatoirement parmi les entiers compris entre m-i+1 et i, sinon 
mise a zero de la variable <7 

si (2i > m+l) ET (a = 1) 

alors c <- R{m-i+l, i} 
sinon <j = 0 

d : mise a jour de la variable c 

e <- p ET (di_i _> i_c > din_>i) ET <T 
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• si H(w-u) + 1 > H(w>, on choisit de ne pas realiser 

d'etape El^ 

• si H(w-l) + 1 = H(w), on choisit aleatoirement de 
realiser ou non une etape El de randomisation. 

21, Procede selon la revendication precedente, au cours 
duquel on realise : 

EntrSe : d = (d^, • . w <3io)2 
Paratnetres : v, k 
Sortie : y = x'^^d mod M 

RO < - 1 ; R2 < - X ; i < - m ; L = { } 
tant que i > 0, faire 
RO <- ROxRO mod N 

si di = 1 alors RO <- R0xR2 mod N fin si 
si i = m mod ( (m+1) /k) ) alors cr <- 1 fin si 
sia=:letL = {} alors 

S 0; u <- R{0, 2^-1} ; 

Rl = x^u mod N 
fin si 

w <- di->i-.v+i 
h <- H(w) 

si w > u alors A <- w-u ; hA <~ 1 + H(A), 
sinon <- v+2 

fin si 

p <- R{0, 1} 

si [ (a=0) A (i-v+l>0) ] a 

[ (h>hA} OU ( (p=l) ET (h=hA) ) ] alors 
di->i-v+l <- A ; I, <- L U {i-v+l} 

fin si 

si (i G I/) alors 

RO <- ROxRl mod N 
L <- L \{i} 
fin si 
i <- i-1 
fin tant que 
retourner RO 
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e : si e = 1 aloors memorisation de RO dans Rl, mise a zero de a, 
soustraction des bits de rangs i a m de la variable d aux bits de 
rangs i-c a i-1 de la variable d et memorisation du resultat dans 
les bits de rangs i-c a i~l de la variable d 

. si 8 = 1 alors 

Rl <- RO ; a 0 

<^±-l -> i-c <- <3.i-l -> i-c - dm -> i 

fin si 

f : si c = 0 alors multiplication du contenu du registre Rl par le 
contenu du registre RO modulo N, memorisation du resultat dans le 
registre RO, et mise a 1 de la variable a 

si c = 0 alors 

RO <- ROxRl mod N ; a <- 1 
fin si 

g : decr^entation des variables c, i 
C <- C-1 ; i <- i-1 
fin tant que 
C : retourner RO 



18. Precede selon I'une des revendi cat ions 1 a 2, dans 
legnel le nombre z est un noirnbre u (z = u) de v bits 
choisi aleatoirement et independant de 1 ' expos ant d. 

19. Procede selon la revendication precedente, dans 
lequel, au cours de I'etape El, le nombre u est sous trait 
a un paquet w de v bits de d. 

20. Procede selon la revendication precedente, au cours 
duquel : 

• si H(w-u) + 1 < H(w) , on choisit de realiser une etape 
El de randomisation, 

• si H(w~u) + 1 > H(w), on choisit de ne pas realiser 

d' etape El, 

« si H(w-l) 4- 1 = H(w), on choisit aleatoirement de 
realiser ou non une etape El de randomisation. 

21. Procede selon la revendication precedente, au cours 
duquel, v, k etant des parametres et x, d des donnees 
d» entree, pour calculer y = x-^d mod N, on realise : 
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A : initialisation des registres RO, R2, de la variable de boucle i et 
de 1* ensemble L : 

RO <- 1 ; R2 <- X 7 i <~ m ; 1/ = {} 
B : tant que i > 0, faire 

5 a : multiplication du contenu du registre RO par lui-meme modulo N 

et memorisation du r^sultat dans le registre RO 

RO <~ ROxrO mod N 

b : si di = 1 alors multiplication du contenu du registre R2 par 
le contenu du registre RO modulo N et m^orisation du resultat 
10 dans le registre RO 

si di ^ 1 alors RO <- R0xr2 mod N fin si 

c : si i = m mod ( {m+1 ) /k) ) alors mise a 1 de la variable <7 

si i = m mod( (m+1) /k) ) alors a <- 1 fin si 

d:si<J=let !:/={> alors mise k z6ro de la variable s,^ choix 
15 aleatoire de la variable u dans 1' ensemble {0, .... 2^^-!},^ elevation 

de la donnee x a la puissance u modulo N et memorisation du 
resultat dans le registre Rl 

si 0 = 1 et 11= {} alors 

s <- 0; u <- R{0, 2^-1} ; 
20 Rl = x'^u mod N 

fin si 

e : memorisation des bits de rangs i-v+1 a i de la variable d dans 
la variable w 

W <- di->i-v+l 

25 f : memorisation du poids de Hamming de la variable w dans la 

variable h 

Ta <- H(w) 

g : si w > u alors soustraction de u ^ la variable w et 
memorisation dans la variable A, memorisation du poids de Hamming 
30 de la variable A incremente de 1 dans la variable h^, sinon 

m^orisation de la variable v incrementde de 2 dans la variable h.^ 

si w > u alors A <- w-u ; hA <- 1 + H(A) 
sinon 1ia <" v+2 

fin si 

35 h : choix aleatoire de la variable u dans 1' ensemble {0, 1}, 

p <- R{0, 1} 

i : si C {a=0) A(i-v+l>0) ] a 

t {h>bA) OU( (p=l) ET {h=hA) ) ] alors memorisation de 
A dans les bits de rangs i-v+1 ^ i de la variable d, ajout de la 
40 valeur i-v+1 k 1' ensemble L 

si [ (a=0) A(i-V+1>0) ] A 

[ (h>hA) OU ( (p=l ) ET (tL=tLA) ) 3 alors 

di->i-v+l <- A ; L <- L KJ {i-V+l} 
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fin si 

j : si (i > L) alors multiplication du contenu du regis tre Rl par 
le contenu du registre RO modulo N, memorisation du resultat dans 
le registre RO, enlevement de la valeur i k 1* ensemble It 

5 si (i € X/) alors 

RO <- ROxRl mod N 
L L \{i} 
fin si 

k : decrementation de la variable i 
10 i i-1 

fin tant que 



C : retourner RO 
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